0

我正在尝试利用syslog-ng. 从我的防火墙,我转发以下消息:

<14>1 2012-10-06T11:03:56.493 SRX100 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.36 reason="TCP FIN" source-address="192.168.199.207" source-port="59292" destination-address ="184.73.190.157" 目标端口="80" 服务名称="junos-http" nat-source-address="50.193.12.149" nat-source-port="19230" nat-destination-address="184.73 .190.157" nat-destination-port="80" src-nat-rule-name="source-nat-rule" dst-nat-rule-name="None" protocol-id="6" policy-name="信任到不信任”源区域名称 =“信任”目标区域名称 =“不信任”会话 ID-32 =“9375”数据包来自客户端 =“9”字节来自客户端 =“4342 " 来自服务器的数据包="7"bytes-from-server="1507" elapsed-time="1" application="UNKNOWN" nested-application="UNKNOWN" username="N/A" roles="N/A" packet-incoming-interface="vlan .0"]

根据 IETF 日志的格式,它似乎是正确的,但由于某种原因,结构化数据实际上被解析为日志的消息部分,而不是被解析为结构化数据。

4

1 回答 1

1

在 syslog-ng 方面,您需要使用 syslog() 源或设置了 flags(syslog-proto) 的 tcp() 源,然后这些东西最终会出现在 ${.SDATA.junos@ 这样的变量中2636.1.1.1.2.36.reason} 以此类推,然后您可以根据需要使用它们。

于 2012-10-10T12:12:49.013 回答